Interview mit Michael Hausding

Wie Switch gegen den Missbrauch von Domainnamen vorgeht

Uhr

Michael Hausding ist Experte für Domain-Namen-Missbrauch und Mitglied des 14-köpfigen Sicherheitsteams Switch-Cert. Im Interview erklärt er, wie Switch mit den Schweizer Behörden und Registraren zusammenarbeitet.

Michael Hausding, Experte für Domain-Namen-Missbrauch und Mitglied des Sicherheitsteams Switch-Cert. (Source: zVg)
Michael Hausding, Experte für Domain-Namen-Missbrauch und Mitglied des Sicherheitsteams Switch-Cert. (Source: zVg)

Switch hat dieses Jahr bereits über 5000 betrügerische .ch-Web­shops gelöscht. 2016 waren es rund 700. Warum die Zunahme?

Michael Hausding: Dafür gibt es verschiedene Gründe. Einer davon ist, dass die Internetkriminalität weltweit stark zugenommen hat. Davon ist auch die Schweiz betroffen. Domain-Namen mit .ch-Endung haben einen guten Ruf und sind für Internetkriminelle sehr attraktiv. Sie nutzen sie gezielt für betrügerische Webshops. Die Domains sind zudem günstig und immer verfügbar.

Switch kooperiert mit Behörden. Sind die Meldungen an Switch und die Benachrichtigung der Domain-Halter automatisiert?

Der Prozess ist seit Februar halbautomatisiert. Die steigende Zahl der Fälle machte das notwendig. Die von den Behörden gemeldeten Domain-Namen landen in einem Domain-Abuse-Tool. Nach einem Plausibilitätscheck können wir mit einem Klick die Benachrichtigungen versenden. In den seltenen Fällen, in denen Switch eine Antwort erhält, melden wir die Halterdaten mit Schweizer Korrespondenzadresse den anfragenden Behörden.

Wie lief die Löschung der Webshops genau ab?

Am Anfang steht oft der Bürger, der wegen eines Internetbetrugs die Polizei kontaktiert. Das Bundesamt für Polizei sammelt diese Meldungen und informiert Switch. Im Falle der 5000 Webshops forderte uns das Fedpol dazu auf, mit den Domain-Haltern in Kontakt zu treten und eine Schweizer Korrespondenzadresse ausfindig zu machen. Dabei gab es nur einen einzigen Fehlalarm. Der Domain-Halter kontaktierte Switch und wir konnten den Fall schnell klären. Alle anderen antworteten nicht. Switch löschte die Domains nach einer Frist von 30 Tagen.

Wer stand hinter den dubiosen Webshops?

Schwierig zu sagen, da hinter den Domains meist gefälschte Identitäten stehen. Switch erkannte das Muster, mit dem die Domains registriert wurden. Bei der aktuellen Löschung gab es viele Halter-Adressen aus Deutschland. Das heisst aber nicht, dass die Cyberkriminellen in Deutschland sitzen. Die Spuren führen nach China und Hongkong, aber wer dahintersteht, können wir nicht sagen. So oder so ist Switch nicht für die Strafverfolgung zuständig. Wir beurteilen auch nicht, ob ein Webshop legitim ist oder nicht. Das sind Aufgaben der Schweizer Behörden.

Was passiert eigentlich mit all den gelöschten Domains?

Sie werden 40 Tage nach Löschung wieder freigegeben ...

… und von den gleichen Cyberkriminellen erneut registriert.

Das ist möglich. Gelöschte Domains sind wegen des oft schon guten Suchmaschinenrankings beliebt. Mit der revidierten Verordnung über Internet-Domains wird Switch die Möglichkeit haben, dagegen vorzugehen. Sie fordert von uns, ab November betrügerische Domain-Registrierungen durch den gleichen Gesuchsteller zu verhindern. Kriminelle nutzen aber für jede Registrierung eine individuelle gefälschte oder gestohlene Identität. Darum ist es für Switch schwierig, mit ausreichender Zuverlässigkeit festzustellen, ob es der gleiche Gesuchsteller ist oder einer, der mit seiner Wunsch-Domain legitime Zwecke verfolgt.

Gibt es denn keine Prüfung der Adressen der Domain-Halter?

Switch hat keinen Kontakt mit dem Domain-Halter, eine Prüfung ist also nicht möglich. Es ist die Aufgabe der Registrare, für die Korrektheit der Halterdaten zu sorgen.

Machen die Registrare ihre Arbeit nicht gut?

Das kann man so nicht sagen. Die Registrare prüfen ja, ob eine Adresse gültig ist oder nicht. Wenn die Identitäten aber gestohlen sind, bringt das wenig. Dazu kommt, dass sich der Bund bewusst für ein offenes und vollautomatisiertes Vergabemodell für Domains entschieden hat. Und jede einzelne Registrierung händisch zu überprüfen, ist nicht realistisch. Das würde viel mehr Personal brauchen und auch den Preis der Domains massiv erhöhen.

Wer eine .fr-Domain registriert, braucht einen Wohn- oder Firmensitz in Frankreich. Wäre das auch für die Schweiz sinnvoll?

Das ist eine politische Entscheidung. Das Problem mit den gestohlenen Identitäten löst dieses Modell nicht. Die Top-Level-Domain .ch steht für eine offene Registrierung für alle – auch für Halter im Ausland. Für sie kann es ja gute Gründe geben, eine .ch-Domain zu registrieren.

Wie können seriöse Anbieter eigentlich verhindern, dass sie fälschlicherweise für Betrüger gehalten und ihre Webshops gelöscht werden?

Seriöse Anbieter haben 30 Tage Zeit, auf unsere Anfrage zu antworten. Tun sie das, melden wir die Adresse an die anfragende Behörde und löschen nichts. Damit ist der Fall für Switch erledigt. Fehlalarme gibt es aber nur selten. In diesem Jahr haben wir einen Domain-Namen unter 5000 nicht gelöscht.

Was sind die grössten Gefahren für Schweizer Webshops?

Die grösste Herausforderung für Schweizer Webshops ist ein sicherer Betrieb. Sie sind ein Angriffsziel von Kriminellen, die wertvolle Daten von Kunden stehlen können. Etwa Kreditkartendaten, Kundenadressen, Benutzernamen und Passwörter.

Wie viele Malware- und Phishing-Attacken gab es dieses Jahr auf .ch-Domains?

Bis jetzt gab es 1429 Drive-by-Malware-Fälle. Alle Websites wurden gehackt und nicht extra dafür registriert, um Malware zu verbreiten. Da uns aber nicht alle Fälle gemeldet werden, liegt die Ziffer sicher höher. Es gab zudem 751 gemeldete Fälle von Phishing. 29 davon waren Neuregistrierungen von Domain-Namen mit dem alleinigen Zweck des Phishings. Hier erhielten wir eine Anfrage von Melani und suspendierten den Domain-Namen sofort. Die restlichen Fälle waren kompromittierte Websites, bei denen wir dem Halter 24 Stunden Zeit geben und erst dann die Domain vorübergehend suspendieren. Das mussten wir in diesem Jahr 66-mal tun. In allen anderen Fällen wurde das Problem vorher behoben.

Wissen Sie, wie viele in der Schweiz wohnhafte Personen auf dubiose Webshops reingefallen sind?

Das können wir nicht sagen. Die Behörden haben jedoch mehrere hundert Domain-Namen bei uns gemeldet. Wir gehen davon aus, dass diese zum Teil auf Meldungen von Betroffenen zurückzuführen sind.

Wie schützt Switch Schweizer Bürger vor betrügerischen ausländischen Webshops?

Wir kooperieren dafür mit den Behörden. Als Registrierungsstelle können wir nur Domain-Namen löschen, bei denen die Halterangaben nicht stimmen, oder der Halter sich nicht identifiziert. Wir beurteilen niemals, ob der Inhalt einer Website legal ist. Da Kriminelle aber meist falsche oder gestohlene Halterangaben verwenden, können wir über 99 Prozent der Webshops löschen. Wir versuchen zudem, durch Öffentlichkeitsarbeit die Bevölkerung zu sensibilisieren und publizieren Tipps, wie man betrügerische Webshops erkennen kann.

Webcode
DPF8_59360